匿名化されていたはずのアプリの位置情報で高位聖職者としては不適切な行動が指摘され、米カトリック司教協議会(USCCB)の事務局長が辞任した(USCCB の声明、 The Pillar の記事、 America Magazine の記事、 Ars Technica の記事)。

位置情報はゲイのソーシャルネットワーキングアプリ Grindr が匿名化してデータブローカーに販売したとされるもの。位置情報とユーザー名は結び付けられていないがデバイスごとにユニーク ID が割り振られており、特定のデバイスがデータを送信した場所と日時が確認できるという。

カトリック教会に関するニュースサイト The Pillar がデータを入手して調べたところ、2018 年から 2020 年にかけて特定のデバイスが(元)事務局長の自宅と職場のほか、ゲイバーや個人宅を訪れていることが判明したとのこと。事務局長は 2018 年の聖職者による児童虐待スキャンダルを受けて USCCB とバチカンの調整役を務めており、訪問した各地でもアプリからデータが送信されていたそうだ。

事務局長の行動に違法性はまったくないが、同性愛に反対するカトリック教会の高位聖職者としては、このようなアプリを使用するだけでもスキャンダラスといえる。そのため、事務局長はUSCCBの運営に支障をきたすことがないよう、The Pillarの記事が公開される前に辞任したとのことだ。

すべて読む | YROセクション | IT | プライバシ |

関連ストーリー：
イスラエル政府、デジタルテクノロジーでCOVID-19感染者に接触した人を特定可能にする暫定法を制定 2020年03月20日
南オーストラリア州公衆衛生局、新型コロナウイルス感染者の移動経路を確認するため携帯電話追跡システムを活用 2020年02月11日
司祭が「ハリー・ポッターの呪文は本物」と主張、米テネシー州ナッシュビルのカトリックスクールが図書館への収蔵をやめる 2019年09月06日
仕事用の電子メールを自分のスマートフォンで受信することは危険？ 2019年07月29日
盗難にあったTesla車、アプリの位置情報が容疑者逮捕につながる 2019年03月02日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す 2018年08月10日
iOS 12では米国での緊急通報発信時に発信者位置情報を通報先に通知する機能を搭載 2018年06月22日
パンを子供に分け与える聖人の彫像、パンの位置で問題発生 2017年11月25日
Google、位置情報サービスをオフにしたAndroid端末からも基地局情報を収集していた 2017年11月22日
FBIが匿名ネットワーク「Tor」を傍受、協力者には100万ドルが支払われた模様 2015年11月16日
ロシア内務省、Torの匿名ネットワークをクラックする技術に賞金11万ドルをかける。ただし要参加費 2014年08月13日
Torに対し匿名化を解除しようとする攻撃が発生していた 2014年08月04日
携帯電話の使用パターンで個人を特定 2013年04月02日
iPhone、Android 携帯のアプリが個人情報を漏洩している 2010年12月19日

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

すべて読む | ハードウェアセクション | セキュリティ | HP | ソフトウェア | プリンター | バグ |

関連ストーリー：
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 2017年09月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
Firefox 41、14年前に報告されたバグの修正でAdblock Plus使用時のメモリー消費量が大幅に減少 2015年09月26日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | 英国 | 法廷 | Twitter | スラッシュバック |

関連ストーリー：
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
ウォズ、無断で名前や外見を使用したビットコインプレゼント詐欺動画を放置したとしてYouTubeを訴える 2020年07月24日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
バイデン氏やイーロン・マスクなどのTwitterアカウント、まとめてハッキングされる 2020年07月16日

2017 年にサービス終了した動画サービス Vidme の動画を埋め込んだままにしておいたことが原因で、普通のニュースサイトの普通の (古い) ニュース記事にポルノが表示される事態となった(Motherboard の記事、 Bleeping Computer の記事、 The Verge の記事、 The Register の記事)。

Vidme は投稿動画をコミュニティメンバーがキュレーションするという、YouTube と Reddit を組み合わせたようなサービスで、一時は 100 万人近いクリエイターと 2,500 万人以上の月間ユニークユーザーを抱えていたという。しかし、Google や Facebook との競争が激しくなる中、独立の VOD サービスとして持続していく道が見えないとして、2017 年にサービスを終了した(Variety の記事)。

現在、ドメイン「vid.me」へのアクセスはポルノサイト「5 Star HD Porn」のトップページにリダイレクトされるため、Vidme の動画を埋め込んでいたフレームには 5 Star HD Porn のトップページが表示されることになる。その結果、The Washington Post や HuffPost、New York Magazine、Fox Sports を含む複数のサイトで、少なくとも最近までポルノサイトのトップページが埋め込み表示されていたようだ。

Twitter で指摘されたサイトのほとんどは既に埋め込み動画を除去するなどの対応をしており、Fox Sports は該当記事自体を削除、HuffPost は Vidme の埋め込みフレームを削除するスクリプトを問題の記事だけでなく全記事に追加しているようだ。一方、まだ修正されていないサイトもある。The Verge は同サイトで調べたら Vidme 埋め込み記事が見つかったので修正したと説明しているが、ちょっと調べたら未修正の記事 (閲覧注意) も見つかった。

すべて読む | idleセクション | 映画 | ビジネス | ニュース | idle |

関連ストーリー：
2020年東京都知事選挙で使用されたドメインが22日に失効。悪用リスクが指摘される 2021年05月21日
フリーティケットシアター(freett.com)、iPhoneプレゼント詐欺サイトになる 2020年10月31日
内閣府のサイトからドメインを手放したサイトへのリンク削除漏れ、リンク先サイトが風俗体験記に 2018年05月12日
内閣府主催のセキュリティイベント公式サイトのドメインが失効、出会い系宣伝サイトに使われる 2017年12月28日
Dell、PCのリカバリ用に使われていたドメイン更新を忘れて乗っ取られる 2017年10月30日
新居浜市の観光サイト、URL移転後に手放した旧ドメインが第三者に取得されリンクサイトとしてそのまま「再利用」される 2016年11月16日
ロンドン市警察、差し押さえたドメインが失効してもそのまま放置 2015年07月11日
ケチャップボトルのQRコードをスキャンするとポルノサイトに移動 2015年06月20日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される 2015年05月30日
「全国中学高校Webコンテスト」で使われたドメイン、その後業者に利用される 2015年02月05日
秋田県警の旧ドメイン、第三者に取られてSEOサイトに使われる 2013年12月09日
福田首相公式サイトとして使われていたドメインが取得可能に 2008年09月04日

リコール修理後にもバッテリー発火の可能性があるとして先日注意喚起が行われた Chevrolet Bolt EV だが、GM が発火の根本的な原因を特定したとして新たなリコールを発表した(Bolt EV Recall、 The Verge の記事、 Ars Technica の記事、 SlashGear の記事)。

問題のバッテリーは LG Chem の特定の工場で製造されたものだ。GM と LG が調査した結果、2 つのまれな製造上の欠陥が 1 つのバッテリーセル内に同時に存在することが原因だと判明したという。

GM はリコールにより対象車両の欠陥バッテリーを交換する計画で、交換パーツの用意が出来次第通知する。リコールの準備ができるまでの緩和策として、1) 充電の上限が 90 % となるよう設定する 2) 可能な限り、使用後はその都度充電し、充電残量が 70 マイル (約 27 %) 未満にならないように注意する 3) 充電完了後は屋外に駐車し、一晩中充電したままにしない、ことを顧客に求めている。

また、設定の変更が苦手な顧客はディーラーに依頼してでも設定するべきであり、最初のリコールで対策となっていた診断ソフトウェアのインストールが行われていない場合はディーラーに依頼してインストールするべきとのことだ。

すべて読む | ITセクション | ハードウェア | 電力 | スラッシュバック | バグ | 交通 |

関連ストーリー：
バッテリーから発火の可能性により米国でリコールされた Chevrolet Bolt EV、修理後も発火の可能性 2021年07月18日

Amazon Games が 20 日からクローズドベータを開始した MMORPG「New World」で、プレイヤーから GPU 故障の報告が相次いだ(PC Gamer の記事、 Tom's Hardware の記事、 IGN の記事、 SlashGear の記事)。

故障が報告されたのは主に EVGA 製の GeForce RTX 3090 FTW3 グラフィックスカードで、しばらくプレイしているとファンが 100 % 回転したのちに映像が出力されなくなり、以後はシステムから認識されなくなるといった症状だ(New World Test Forums の投稿)。

同じ RTX 3090 チップを搭載していても問題が発生しない製品がある一方で、他の GPU でも発生するとの報告もみられる。Amazon はこの問題を受け、パッチをリリースしたそうだ。

すべて読む | ITセクション | ハードウェア | グラフィック | バグ | ハードウェアハック | ゲーム |

関連ストーリー：
StarCraft II でグラフィックカードが故障する問題が発生 2010年08月04日